长期报道中东事件问题的纽约记者Ben Hubbard在自家幕后《Time Insider》专栏自爆,自己iPhone手机2018~2021年间4次遭Pegasus飞马间谍软件攻击,尤以后两次攻击最可怕,因黑客采用前所没有的“免点击”(Zero-click)攻击,用户只要接收恶意短信,即使没有点击任何恶意连接,手机照样被黑。这宛如“鬼入侵”的情节,不但打破iPhone坚不可破的神话,也完全颠覆安全三观。
不需点击连接、没有任何迹象,iPhone就被黑
虽然黑客攻击Hubbard的4次皆用Pegasus间谍软件,还是显示攻击技术日新月异。除了第二次攻击通过WhatsApp发送恶意连接,其余三次都通过iMessage发送内置恶意连接的短信。虽然前两次攻击都没有得逞,但2020及2021年两次就不一样了,黑客通过Pegasus间谍软件启动“Zero-click”全新攻击手法,即使Hubbard没有点击恶意连接,他的iPhone手机仍遭入侵。
“Zero-click”最可怕的地方就是,攻击者完全不需与用户交互就能成功黑进手机。对用户来说,手机没有任何迹象就被黑了,且间谍软件研究机构Citizen Lab表示,黑客一旦成功入侵手机,会尝试将首次入侵痕迹移除。研究人员最终仍能找到攻击者入侵迹象,但说不准黑客到底查看手机多久,和偷走了什么。
既然黑客都已入侵手机,所以短信、照片、密码等任何内容都有可能被窃。不仅如此,黑客也能远程启动iPhone麦克风与摄影机监听受害者,如果你是政要、明星或记者,很有可能被黑客监听一切。
Zero-click攻击手法加持,让Pegasus间谍软件长驱直入iPhone
破解并入侵手机已成为许多安全公司最有利可图的业务,因许多政府与执法机构意欲监听特定目标的需求高涨。长久致力隐私与安全的苹果手机,一直是黑客最想破解的终极目标,这也是何以Pegasus间谍软件(以色列软件公司NSO Group开发)大受欢迎,成为黑入iPhone手机的必备利器。
随着“Zero-click”攻击手法出现,让iPhone使用群体人心惶惶。虽然仍没有防范“Zero-click”攻击的特效药,但Hubbard也分享自我保护之道。除了定期更新iOS系统,用户最好尽可能限制重要资料不留在手机,例如敏感消息或重要联系人等。再者,他会通过Signal通信软件与人沟通,因开源Signal会对所有通信内容采点对点加密,远比时下其他通信软件更安全。用户最好三不五时重新启动iPhone,才可将常驻系统的间谍软件暂时踢掉。
(首图来源:苹果)